Certificat SSL non valide dans Chrome


9

Pour le site Web scirra.com ( cliquez pour les résultats des tests du serveur SSL Labs ), Google Chrome signale l'icône suivante:

Entrez la description de l'image ici

C'est un SSL EV, et il semble bien fonctionner dans Firefox et Internet Explorer, mais pas dans Chrome. Quelle est la raison pour ça?


En fait, référencer des sites Web n'est pas une bonne pratique, peut-être si vous payez ses frais de publicité à la société SE ...
peterh - Reinstate Monica

6
@PeterHorvath Ne serait-il pas valide d'inclure le domaine pour une question comme celle-ci? Comment pourrions-nous déterminer la cause du problème sans enquêter sur le certificat réel? Néanmoins, j'ai suggéré une modification avec le domaine en texte brut et un lien vers le test du serveur SSL Qualys.
Paul

1
@Paul C'est parce que je l'ai seulement prévenu et je n'en ai pas fait d'autre. Et maintenant, je vote même pour sa question parce que je pense qu'elle le mérite. Normalement, lors des critiques, si nous trouvons un lien externe, il doit être examiné s'il ne s'agit pas d'un "joyau caché" ou similaire. Il est préférable que l'URL provienne d'un site connu (imgur, jsfiddle, etc.).
peterh


J'imagine que tous les navigateurs du marché prendront fin SHA-1. Google vient de prendre les devants.
taco

Réponses:


15

Ce que vous voyez maintenant, ce n'est pas la "barre d'adresse verte" que vous attendez d'un certificat EV, mais ce qui suit:

entrez la description de l'image ici

La raison en est l'annonce suivante sur le blog de Google Online Security :

L'algorithme de hachage cryptographique SHA-1 est connu pour être considérablement plus faible qu'il n'a été conçu depuis au moins 2005 - il y a 9 ans. Les attaques par collision contre SHA-1 sont trop abordables pour que nous puissions les considérer comme sûres pour l'ICP du Web public. Nous pouvons seulement nous attendre à ce que les attaques deviennent moins chères.

C'est pourquoi Chrome commencera le processus de suppression de SHA-1 (tel qu'il est utilisé dans les signatures de certificat pour HTTPS) avec Chrome 39 en novembre. ... Les sites dont les certificats d'entité finale expirent entre le 1er juin 2016 et le 31 décembre 2016 (inclus), et qui incluent une signature basée sur SHA-1 dans la chaîne de certificats, seront traités comme «sécurisés, mais avec une mineure les erreurs".

Le «sécurisé mais avec des erreurs mineures» est indiqué par le signe d'avertissement dans le cadenas et les paramètres de sécurité obsolètes dans le message étendu sont le fait que le certificat repose sur l'algorithme de hachage SHA-1.

Ce que vous devez faire est le suivant:

Générez une nouvelle clé privée avec un hachage SHA-256 et une nouvelle demande de signature de certificat (CSR) et demandez à votre fournisseur SSL de vous réémettre avec un nouveau certificat. Avec les certificats EV, une réémission nécessite généralement plus ou moins les mêmes cercles que vous avez dû traverser pour obtenir le certificat initialement, mais vous devriez obtenir un nouveau certificat valide jusqu'à la même date d'expiration du certificat actuel sans frais supplémentaires.

Dans openssl, vous utiliseriez quelque chose comme la ligne de commande suivante:

openssl req -nodes -sha256 -newkey rsa:2048 -keyout www.scirra.com.sha256.key -out www.scirra.com.sha256.csr

1
J'ai remarqué dans les résultats de test du serveur SSL Labs que la signature du serveur HTTP est Microsoft-IIS / 7.5. Je n'ai utilisé aucun des produits serveur de Microsoft, donc je ne savais pas si votre opensslcommande est une option pour cet utilisateur.
Paul

1
Vous n'avez pas besoin de générer une nouvelle clé. Vous pouvez simplement obtenir un nouveau certificat pour votre clé actuelle, comme indiqué dans la réponse de taco. Cependant, cela n'a pas d'importance, sauf pour la gravure de quelques cycles CPU générant des nombres premiers.
Matt Nordhoff

10

Cela est dû au plan de temporisation de Google pour SHA-1 .

  • Il n'y a pas de problème de sécurité immédiat.
  • SHA-2 est l'algorithme de hachage actuellement recommandé pour SSL. Aucune violation des certificats utilisant SHA-1 n'a été signalée.
  • L'affichage des indicateurs d'interface utilisateur dégradés sur Chrome 39 et versions ultérieures fait partie du plan de dépréciation SHA-1 de Google et s'appliquera à toutes les autorités de certification (AC).
  • L'interface utilisateur dégradée ne sera visible que par les utilisateurs de Chrome 39 et versions ultérieures, et non des versions antérieures. Contactez votre fournisseur SSL après avoir demandé à votre administrateur système de localiser votre clé privée existante (sur votre serveur Web), et ils effectueront une réémission de certificat avec SHA-2 gratuitement. Vous aurez besoin d'un nouveau CSR.

Ce qui suit créera un nouveau CSR sur OSX / Linux si OpenSSL est installé (référez-vous à vos champs de certificat SSL existants car le domaine (aka "Common Name") doit rester le même:

Linux / OSX:

openssl req -new -sha256 -key myexistingprivate.key -out newcsr.csr

Pour Windows, consultez cet article TechNet .

À ce stade, vous devrez peut-être contacter votre fournisseur pour obtenir de l'aide, si vous ne voyez pas d'option de réémission via son portail SSL. Le site Web de Comodo semble expliquer en détail comment procéder si cela ne vous suffit pas.

Une fois le certificat SHA-2 installé, cela éliminera le «problème» que vous voyez dans Chrome.


5

Vous avez besoin du certificat SHA2 pour le faire disparaître. Plus d'informations sur SHA-1


2
SSL Labs signale correctement mon site Web comme ayant toujours un certificat SHA1, mais il n'a pas les mêmes avertissements dans Chrome. Cependant, SSL Labs rapporte que scirra.com a de nombreux autres problèmes, notamment SSL 3, RC4 et aucun FS. Je soupçonne que ce n'est pas seulement que le certificat est signé à l'aide de SHA1, mais aussi que sa date d'expiration est postérieure au coucher du soleil SHA1 (2016).
Paul

1
@Paul qui est inclus dans le lien. Sites with end-entity certificates that expire on or after 1 January 2017, and which include a SHA-1-based signature as part of the certificate chain, will be treated as “neutral, lacking security”.
faker

2
Les sites @faker SE désapprouvent les réponses ou les questions qui s'appuient sur des informations contenues dans des liens. Les informations pertinentes doivent être incluses. En fait, j'irais jusqu'à dire que cette réponse est techniquement incorrecte, car l'utilisateur pourrait résoudre le problème en utilisant un certificat SHA1 qui expire avant 2016.
Paul

1
@ Paul assez bien, mais vous avez dit que vous suspectez que c'est la raison. Je ne faisais que clarifier ...
faker

3
Jetez un œil à la façon dont ils font les choses chez Stack Overflow . C'est une bien meilleure réponse que la vôtre.
Paul
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.